Khala

常见的权限设计模式有以下几种： 自主访问控制 (Discretionary Access Control, DAC) 强制访问控制 (Mandatory Access Control, MAC) 基于角色的访问控制 (Role-Based Access Control, RBAC) 基于属性的权限验证 (Attribute-Based Access Control, ABAC) 常用的概念有： 用户：发起操作的主体 对象：发起操作的客体，即操作的对象 权限：用来指代对某对象的一种 / 一类操作 权限控制表 (Access Control List, ACL):...

# 认证过程 顾名思义，基于挑战 / 应答（Challenge/Response）方式的身份认证系统就是每次认证时认证服务器端都给客户端发送一个不同的 "挑战" 字串，客户端程序收到这个 "挑战" 字串后，做出相应的 "应答", 以此机制而研制的系统。认证过程为： 客户向认证服务器发出请求，要求进行身份认证； 认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理； 认证服务器内部产生一个随机数，作为...

# 简介 Kerberos 协议起源于美国麻省理工学院 Athena 项目，基于公私钥加密体制，为分布式环境提供双向验证，在 RFC 1510 中被采纳，Kerberos 是 Windows 域环境中的默认身份验证协议。 简单地说，Kerberos 提供了一种单点登录 (Single Sign-On, SSO) 的方法。考虑这样一个场景，在一个网络中有不同的服务器，比如，打印服务器、邮件服务器和文件服务器。这些服务器都有认证的需求。很自然的，不可能让每个服务器自己实现一套认证系统，而是提供一个中心认证服务器 (Authentication Server, AS)...

# 本地用户认证 Windows 在进行本地登录认证时操作系统会使用用户输入的密码作为凭证去与系统中的密码进行对比验证。通过 winlogon.exe 接收用户输入传递至 lsass.exe 进行认证。 winlogon.exe 用于在用户注销、重启、锁屏后显示登录界面。 lsass.exe 用于将明文密码变成 NTLM Hash 的形式与 SAM 数据库比较认证。 # SAM 安全帐户管理器 (Security Accounts Manager，SAM) 是 Windows 操作系统管理用户帐户的安全所使用的一种机制。用来存储 Windows 操作系统密码的数据库文件为了避免明文密码泄漏...

# 简介 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准（(RFC 7519). 该 token 被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该 token 也可直接被用于认证，也可被加密。 # 构成 分为三个部分，分别为头部（Header）、声明（Claims，也可以称为负载 Payload）、证书（Signature），三个部分以英文句号 ....

# 简介 单点登录 (SingleSignOn，SSO) 指一个用户可以通过单一的 ID 和凭证（密码）访问多个相关但彼此独立的系统。 # 常见流程 用户 (User) 向服务提供商 (Service Provider) 发起请求 SP 重定向 User 至 SSO 身份校验服务 (Identity Provider) User 通过 IP 登录 IP 返回凭证给 User User 将凭证发给 SP SP 返回受保护的资源给用户 其中凭证要有以下属性 签发者的签名 凭证的身份 使用的时间 过期时间 生效时间 # 可能的攻击 / 漏洞 # 信息泄漏 若 SP 和 IP...

多因子认证是在单因子认证不足以保证安全性时使用的方法，通常会引入多种方式对用户身份进行验证。身份验证方法可以基于知识的认证，即密码；也可以基于物品的认证，例如硬件密钥；也可以是基于特征的认证，例如包含指纹在内的生物特征等。 具体来说，目前常用的生物特征有：指纹、人脸、虹膜、静脉、声纹、体态等。常用的评价指标主要是速度（注册、识别使用的时间），精确度（假阳性、假阴性）等。

# 攻击机溯源技术 # 基于日志的溯源 使用路由器、主机等设备记录网络传输的数据流中的关键信息 (时间、源地址、目的地址)，追踪时基于日志查询做反向追踪。 这种方式的优点在于兼容性强、支持事后追溯、网络开销较小。但是同时该方法也受性能、空间和隐私保护等的限制，考虑到以上的因素，可以限制记录的数据特征和数据数量。另外可以使用流量镜像等技术来减小对网络性能的影响。 # 路由输入调试技术 在攻击持续发送数据，且特性较为稳定的场景下，可以使用路由器的输入调试技术，在匹配到攻击流量时动态的向上追踪。这种方式在 DDoS 攻击追溯中比较有效，且网络开销较小。 #...

# 响应流程 # 事件发生 运维监控人员、客服审核人员等发现问题，向上通报。 # 事件确认 收集事件信息、分析网络活动相关程序，日志和数据，判断事件的严重性，评估出问题的严重等级，是否向上进行汇报等。 # 事件响应 各部门通力合作，处理安全问题，具体解决问题，避免存在漏洞未修补、后门未清除等残留问题。 # 事件关闭 处理完事件之后，需要关闭事件，并写出安全应急处理分析报告，完成整个应急过程。 # 事件分类 病毒、木马、蠕虫事件 Web 服务器入侵事件 第三方服务入侵事件 系统入侵事件 利用 Windows 漏洞攻击操作系统 网络攻击事件 DDoS / ARP 欺骗 / DNS...

# 简介 蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，其没有业务上的用途，所有流入 / 流出蜜罐的流量都预示着扫描或者攻击行为，因此可以比较好的聚焦于攻击流量。 蜜罐可以实现对攻击者的主动诱捕，能够详细地记录攻击者攻击过程中的许多痕迹，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据。另外蜜罐也可以消耗攻击者的时间，基于 JSONP 等方式来获取攻击者的画像。 但是蜜罐存在安全隐患，如果没有做好隔离，可能成为新的攻击源。 #...